既知脆弱性による「FortiOS」侵害の新手法 - 初期経路封じても被害継続

Fortinetは、既知の脆弱性を悪用して同社UTMアプライアンス「FortiGate」を永続的に侵害するあらたな攻撃手法が確認されたとして注意を呼びかけた。初期侵入経路の遮断後もアクセスを維持していたという。

「FortiOS」の「SSL-VPN」におけるヒープベースのバッファオーバーフローの脆弱性「CVE-2022-42475」「CVE-2023-27997」や域外メモリへの書き込み「CVE-2024-21762」など、既知の脆弱性を悪用し、機器を侵害するあらたな手口が確認されたもの。

攻撃者は、脆弱性を悪用して「SSL-VPN」の言語ファイル用ディレクトリ内に、ユーザーファイルシステムとルートファイルシステムを結ぶシンボリックリンクを作成。

アップデートの実施により初期侵入をブロックした以降も、設定情報を含むファイルを機器より読み取りできる環境を維持していた。

あらたな攻撃を確認したことを受け、同社では対象バージョンに対し、マルウェアや不正対策用の定義ファイルを更新。あわせて「SSL-VPNインタフェース」の強化など、対策を講じたファームウェアを用意した。

具体的には、「FortiOS 7.6.2」「同7.4.7」「同7.2.11」「同7.0.17」「同6.4.16」においてシンボリックリンクの削除および再作成防止を実装。問題のシンボリックリンクをマルウェアとして検出するエンジンも追加している。

（Security NEXT - 2025/04/16 ）ツイート